Chapitre 13 Audit des identités : principes de base

Ce chapitre présente les principes sur lesquels reposent l'audit des identités et les contrôles d'audit. Les contrôles d'audit peuvent être utilisés pour contrôler et gérer le contrôle et la compatibilité des systèmes et applications informatiques de l'entreprise.

Ce chapitre présente les principes et tâches suivants :

• À propos de l'audit des identités ;

• Objectifs de l'audit des identités ;

• Comprendre l'audit des identités ;

• Travailler avec l'audit des identités dans l'interface administrateur ;

• Activation de la journalisation d'audit ;

• À propos des stratégies d'audit.

À propos de l'audit des identités

Identity Manager définit l'audit comme la capture, l'analyse, la réponse systématiques des/aux données d'identité à travers l'entreprise afin d'assurer la compatibilité avec les stratégies et réglementations internes et externes.

La conformité à la législation en matière de comptabilité et de confidentialité des données n'est pas une tâche aisée. Les fonctionnalités d'audit d'Identity Manager offrent une approche flexible vous permettant d'implémenter une solution de compatibilité qui fonctionne pour votre entreprise.

Dans la plupart des environnements, différents groupes sont concernés par la compatibilité : les équipes d'audit internes et externes (dont l'audit est le principal centre d'intérêt) et le personnel non lié à l'audit (qui peut percevoir l'audit comme une perte de temps). L'informatique est également souvent concernée par la compatibilité et facilite la transformation des exigences de l'équipe d'audit interne en l'implémentation de la solution choisie. La clé de l'implémentation réussie d'une solution d'audit est une capture précise des connaissances, contrôles et processus du personnel non lié à l'audit et l'automatisation de l'application de ces informations.

Objectifs de l'audit des identités

L'audit des identités améliore la performance d'audit comme suit :

• L'audit des identités détecte automatiquement les violations de compatibilité et en facilite la résolution rapide grâce à une notification immédiate.

  Les fonctionnalités de stratégie d'audit d'Identity Manager permettent de définir des règles (c'est-à-dire des critères) pour les violations. Une fois celles-ci définies, le système effectue un scannage à la recherche de conditions qui violent les stratégies établies, par exemple des changements d'accès non autorisés ou des privilèges d'accès erronés. Lorsqu'il détecte une de ces conditions, le système avertit les personnes appropriées conformément à une chaîne de signalisation définie. Les tâches appelées par les utilisateurs ou les flux de travaux automatiquement appelés par les violations de stratégie peuvent ensuite résoudre (corriger) la violation.

• Il fournit des informations-clés, à la demande sur l'efficacité des contrôles d'audit internes

  Les Rapports de l’auditeur fournissent des informations d'état sur les violations et les exceptions pour une analyse rapide de l'état de risque. L'onglet Rapports fournit également des rapports graphiques sur les violations. Vous pouvez afficher les violations par ressource, organisation ou stratégie, en personnalisant chaque diagramme en fonction de caractéristiques de rapport que vous définissez.

• Il automatise les examens de certification des contrôles d'identité pour réduire le risque opérationnel.

  Les capacités de flux de travaux activent la notification automatisée des violations de stratégie et d'accès à des examinateurs spécialisés.

• Il prépare des rapports exhaustifs qui détaillent les activités des utilisateurs et satisfont les exigences règlementaires.

  La zone Rapports permet de définir des rapports et des diagrammes détaillés fournissant des informations sur l'historique des accès et les privilèges et d'autres violations de stratégie. Le système conserve une piste d'audit d'identité sécurisée et complète qui peut être explorée par le biais des fonctionnalités de génération de rapports, pour les mises à jour des données d'accès et des profils des utilisateurs.

• Il simplifie le processus des examens périodiques visant à maintenir la sécurité et la conformité aux réglementations.

  Des examens d'accès périodiques peuvent être effectués pour collecter les enregistrements des habilitations des utilisateurs et déterminer les habilitations nécessitant un examen. Le processus avertit ensuite les attestateurs désignés des demandes en attente d'examen et met à jour le statut ou les demandes en attente une fois les actions de l'attestateur sur les demandes complétées.

• Il identifie les capacités susceptibles de donner lieu à des conflits d'intérêt pour les comptes utilisateur

  Identity Manager fournit un Rapport de séparation des obligations qui identifie les utilisateurs ayant des capacités ou privilèges spécifiques susceptibles de donner lieu à un conflit d'intérêt potentiel.

Comprendre l'audit des identités

Identity Manager fournit une fonctionnalité permettant l'audit des privilèges et droits d'accès des comptes utilisateur ainsi qu'une fonctionnalité distincte pour le maintien et la certification de la compatibilité. Ces fonctionnalités sont la compatibilité basée sur des stratégies et les examens des accès périodiques.

Compatibilité basée sur des stratégies

Identity Manager emploie un système de stratégie d'audit qui permet aux administrateurs de maintenir la compatibilité des exigences établies par l'entreprise pour tous les comptes utilisateur.

Vous pouvez utiliser les stratégies d'audit pour assurer la compatibilité de deux manières à la fois différentes et complémentaires : la compatibilité continue et la compatibilité périodique.

Ces deux techniques sont particulièrement complémentaires dans un environnement dans lequel les opérations de provisioning peuvent être effectuées en dehors d'Identity Manager. Lorsqu'un compte peut être changé par un processus qui n'exécute pas ou ne respecte pas les stratégies d'audit existantes, la compatibilité périodique est nécessaire.

Compatibilité continue

Avec la compatibilité continue, une stratégie d'audit est appliquée à toutes les opérations de provisioning, de sorte qu'un compte ne peut pas être modifié d'une façon non conforme à la stratégie en cours.

Vous pouvez activer la compatibilité continue en assignant une stratégie d'audit à une organisation, un utilisateur ou ces deux éléments. Toutes les opérations de provisioning effectuées sur un utilisateur entraîneront une évaluation des stratégies assignées à l'utilisateur. Tout échec de stratégie résultant interrompra l'opération de provisioning.

Une stratégie basée sur les organisations est définie de manière hiérarchique. Il n'y a qu'un ensemble de stratégies d'organisation en vigueur pour un utilisateur donné. L'ensemble de stratégies appliqué est celui assigné à l'organisation de plus bas niveau. Par exemple :

Organisation	Ensemble de stratégies directement assigné	Stratégie effective
Austin	Stratégies A1, A2	Stratégies A1, A2
Marketing		Stratégies A1, A2
Développement	Stratégies B, C2	Stratégies B, C2
Assistance		Stratégies B, C2
Test	Stratégies D, E5	Stratégies D, E5
Finance		Stratégies A1, A2
Houston		<aucun(e)>

Compatibilité périodique

Dans le cadre de la compatibilité périodique, Identity Manager évalue la stratégie à la demande. Toute condition non conforme est capturée comme une violation de compatibilité.

Lors de l'exécution des scannages de compatibilité périodique, vous pouvez sélectionner les stratégies à inclure dans le scannage. Le processus de scannage mélange les stratégies directement assignées (c'est-à-dire celles assignées aux utilisateurs et aux organisations) et un ensemble arbitraire de stratégies sélectionnées.

Les utilisateurs Identity Manager ayant des capacités Administrateur Auditor peuvent créer des stratégies d'audit et contrôler la compatibilité avec ces stratégies en exécutant périodiquement des scannages de stratégie et des examens de violations de stratégie. Les violations peuvent être gérées par le biais des procédures de résolution et d'atténuation.

Pour plus d'informations sur les capacités Administrateur Auditor, voir Comprendre et gérer les capacités au Chapitre 6Administration.

L'audit d'Identity Manager permet des scannages d'utilisateurs réguliers. Ces scannages exécutent des stratégies d'audit pour détecter toute déviation par rapport aux limites de compte fixées. Lorsqu'une violation est détectée, les opérations de résolution sont lancées. Les règles peuvent être des règles de stratégie d'audit standard fournies par Identity Manager, ou des règles personnalisées définies par l'utilisateur.

Flux de tâches logiques pour la compatibilité basée sur les stratégies

La Figure 13–1 représente le flux de tâches suivi pour établir des contrôles d'audit basés sur des stratégies.

Examens d'accès périodiques

Identity Manager fournit des examens d'accès périodiques qui permettent aux directeurs et autres parties en charge d'examiner et de vérifier les privilèges d'accès des utilisateurs à une fréquence ad hoc ou périodique. Pour plus d'informations sur cette fonctionnalité, voir Examens d'accès périodiques et attestations.

Figure 13–1 Flux de tâches logique pour l'établissement de la compatibilité basée sur les stratégies

Travailler avec l'audit des identités dans l'interface administrateur

Cette section explique comment accéder aux fonctionnalités d'audit des identités dans l'interface administrateur. Les modèles de notification par e-mail utilisés pour l'audit des identités sont également examinés.

Utilisation de la section Conformité de l'interface

Pour créer et gérer des stratégies d'audit, utilisez la section Conformité de l'interface administrateur d'Identity Manager.

Pour utiliser la section Conformité pour créer et gérer des stratégies d'audit

1. Connectez-vous à l'interface administrateur (Connexion à l'interface utilisateur final d'Identity Manager).

2. Cliquez sur Conformité dans la barre de menu.

   Les sous-onglets (ou options de menu) suivants sont disponibles dans la section Conformité :

   • Gérer les stratégies,

   • Gérer les scannages d’accès,

   • Examens des accès.

Gérer les stratégies

La page Gérer les stratégies liste les stratégies que vous êtes autorisé à afficher et éditer. Vous pouvez aussi gérer les scannages d'accès depuis cette zone.

La page Gérer les stratégies permet de travailler avec les stratégies d'audit pour accomplir les tâches suivantes :

• créer une stratégie d'audit ;

• sélectionner une stratégie à afficher ou éditer ;

• supprimer une stratégie.

Des informations détaillées sur ces tâches figurent plus loin dans la section Exemple de scénario de stratégie d'audit .

Gérer les scannages d’accès

L'onglet Gérer les scannages d’accès permet de créer, modifier et supprimer des scannages d'accès. Vous pouvez définir sur cet onglet des scannages à exécuter ou programmer pour des examens d'accès périodiques. Pour plus d'informations sur cette fonctionnalité, voir Examens d'accès périodiques et attestations.

Examens des accès

L'onglet Examens des accès permet de lancer, terminer, supprimer et contrôler la progression des examens des accès. Il affiche un rapport récapitulatif des résultats de scannage comportant des liens d'information permettant d'accéder à des informations plus détaillées sur l'état des examens et les activités en attente.

Pour plus d'informations sur cette fonctionnalité, voir Gestion des examens d'accès.

Guide de référence rapide de l'interface des tâches d'audit des identités

Pour savoir comment effectuer d'autres tâches d'audit des identités dans l'interface administrateur, voir le Tableau B–8. Ce tableau de référence rapide indique où aller pour commencer tout un éventail de tâches d'audit.

Modèles d’e-mails

L'audit des identités utilise la notification par e-mail pour un certain nombre d'opérations. Un objet Modèle d'e-mail est utilisé pour chacune de ces notifications. Les en-têtes et le corps des messages e-mail basés sur ces modèles d'e-mail peuvent être personnalisés.

Tableau 13–1 Modèles d'e-mails d'audit des identités

Nom du modèle	Objectif
Avis de résolution de l'examen des accès	Est envoyé aux solutionneurs par un examen des accès lorsque les habilitations de l'utilisateur sont créées au départ dans l'état de résolution.
Avis d’attestation en masse	Est envoyé aux attestateurs par un examen des accès lorsqu'ils ont des attestations en attente.
Avis de violation de stratégie	Est envoyé aux solutionneurs par un scannage de stratégie d'audit en cas de violation.
Avis de début du scannage d’accès	Est envoyé au propriétaire d'un scannage d'accès quand un examen des accès commence un scannage.
Avis de fin du scannage d’accès	Est envoyé au propriétaire d'un scannage d'accès à la fin d'un scannage d'accès.

Activation de la journalisation d'audit

Pour que vous puissiez commencer à gérer les examens de compatibilité et d'accès, le système de journalisation d'audit d'Identity Manager doit être activé et configuré pour collecter les évènements de contrôle. Par défaut, le système d'audit est activé. Un administrateur Identity Manager ayant la capacité Configurer l’audit peut configurer l'audit.

Identity Manager fournit le groupe de configuration d'audit Gestion de la conformité.

Suivez les étapes ci-après pour afficher ou modifier les événements stockés par le groupe Gestion de la conformité :

1. Connectez-vous à l'interface administrateur (Connexion à l'interface utilisateur final d'Identity Manager).

2. Sélectionnez Configurer dans la barre de menu puis cliquez sur Vérification informatique.

3. Sur la page Configuration d'audit, sélectionnez le nom de groupe d'audit Gestion de la conformité.

---

Remarque –

• Pour plus d'informations sur le paramétrage des groupes de configuration d'audit, voir Configuration de groupes et d'événements d'audit.

• Pour plus d'informations sur l'enregistrement des événements par le système d'audit, voir le Chapitre 10Journalisation d'audit.

---

À propos des stratégies d'audit

Une stratégie d'audit définit les limites des comptes pour un ensemble d'utilisateurs d'une ou plusieurs ressources. Elle comprend les règles qui définissent les limites d'une stratégie et les flux de travaux permettant de traiter les violations qui se produisent. Les scannages d'audit utilisent les critères définis dans une stratégie d'audit afin de déterminer si des violations se sont produites dans l'organisation.

Une stratégie d'audit est constituée des composants suivants :

• Les Règles de stratégie définissent des violations spécifiques. Les règles de stratégie peuvent contenir des fonctions écrites dans les langages XPRESS, XML Object ou JavaScript.

• Un Flux de travaux de résolution (en option) est lancé lorsqu'un scannage d'audit identifie une violation des règles de stratégie.

• Les Solutionneurs sont des utilisateurs désignés qui sont autorisés à répondre aux violations de stratégie. Les solutionneurs peuvent être des utilisateurs individuels ou des groupes d'utilisateurs.

Création d'une stratégie avec les règles de stratégie d'audit

Les règles définissent les conflits potentiels en fonction des attributs au sein d'une stratégie d'audit. Une stratégie d'audit peut contenir des centaines de règles qui référencient un vaste éventail de ressources. Pendant l'évaluation d'une règle, celle-ci a accès aux données de compte utilisateur depuis une ou plusieurs ressources. La stratégie d'audit peut limiter les ressources disponibles pour la règle.

Il est possible d'avoir une règle qui contrôle un unique attribut sur une unique ressource tout comme il est possible d'avoir une règle qui contrôle plusieurs attributs sur plusieurs ressources.

Réponse aux violations de stratégie avec les flux de travaux de résolution

Une fois que vous avez créé des règles pour définir des violations de stratégie, vous sélectionnez le flux de travaux qui sera lancé à chaque fois qu'une violation sera détectée pendant un scannage d'audit. Identity Manager fournit le flux de travaux Standard Remediation (Résolution standard) par défaut, qui assure le traitement de résolution par défaut pour les scannages de stratégie d'audit. Entre autres actions, ce flux de travaux de résolution par défaut génère les e-mails de notification à destination de chacun des Solutionneurs de niveau 1 (et, le cas échéant, des solutionneurs des niveaux suivants).

---

Remarque –

Contrairement aux processus de flux de travaux d'Identity Manager, les flux de travaux de résolution doivent se voir assigner l'AuthType=AuditorAdminTask et le sous-type SUBTYPE_REMEDIATION_WORKFLOW. Si vous importez un flux de travaux pour l'utiliser dans les scannages d'audit, vous devez ajouter cet attribut manuellement. Pour plus d'informations, voir (facultatif) Importation des règles de séparation des obligations dans Identity Manager.

---

Désignation des solutionneurs

Si vous assignez un flux de travaux de résolution, vous devez désigner au minimum un solutionneur. Vous pouvez désigner jusqu'à trois niveaux de solutionneurs pour une stratégie d'audit. Pour plus d'informations sur la résolution, voir Résolution et atténuation des violations de conformité.

Vous devez assigner un flux de travaux de résolution pour pouvoir assigner des solutionneurs.

Exemple de scénario de stratégie d'audit

Supposez que vous soyez responsable des comptes fournisseurs et des comptes clients et deviez implémenter des procédures visant à empêcher tout cumul de responsabilités dangereux chez les employés du service comptabilité. La stratégie choisie devra garantir que le personnel ayant des responsabilités concernant les comptes fournisseurs n'en aura pas pour les comptes clients.

La stratégie d'audit contiendra les éléments suivants :

• Un ensemble de règles. Chaque règle spécifiera une condition constituant une violation de stratégie

• Un flux de travaux lançant des tâches de résolution.

• Un groupe d'administrateurs désignés, ou solutionneurs, ayant des permissions leur permettant d'afficher et de répondre aux violations de stratégie créées par des règles précédentes.

Une fois que les règles ont identifié des violations de stratégie (dans ce scénario, des utilisateurs cumulant trop de responsabilités), le flux de travaux associé peut lancer des tâches de résolution spécifiques, notamment des notifications automatiques à l'adresse de solutionneurs sélectionnés.

Les solutionneurs de niveau 1 sont les premiers solutionneurs contactés lorsqu'un scannage d'audit identifie une violation de stratégie. Lorsque la période de signalisation identifiée dans cette zone est dépassée, Identity Manager avertit les solutionneurs du niveau suivant (si plus d'un niveau est spécifié pour la stratégie d'audit).

La section suivante « Travailler avec les stratégies d'audit », explique l'utilisation de l'assistant Stratégie d’audit pour créer une stratégie d'audit.